AI Session Notes - 2026-02-22
Chrome拡張機能のセキュリティリスク
学んだこと
- Chrome拡張機能に「サイトのデータの読み取りと変更」権限を与えると、技術的にはセッションCookie/トークンの窃取、DOM操作、キー入力の監視、リクエストの傍受・改ざんが可能になる
- 2024〜2025年にかけて、人気のChrome拡張がハッキングされセッションハイジャックに悪用された事例が複数報告されている(60秒ごとにCookieを外部送信していたケースも)
- 拡張機能の約35%が「高リスク」カテゴリに分類されている(認証情報の窃取、セッションハイジャック、データ流出の可能性)
- 拡張機能自体が悪意を持って作られていなくても、開発者アカウントが乗っ取られて悪意あるアップデートが配信されるサプライチェーン攻撃のリスクがある
詳細
Cookie-Bite攻撃では、セッションCookieを窃取することでパスワードやMFAなしでクラウドサービスにアクセスできてしまう。C2サーバー経由で認証Cookieを設定することで、完全なセッションハイジャックが成立する。
ブラウザプロファイル分離によるリスク軽減
学んだこと
- 信頼度の低い拡張機能は専用のブラウザプロファイルにインストールすることで、メインプロファイルのセッション情報への影響を遮断できる
- ChromeのプロファイルはGoogleアカウントなしでも作成可能(「アカウントなしで続行」を選択)
- プロファイルごとにCookie・拡張機能・履歴が完全に分離される
- ネットバンキング等の重要サービスはメインプロファイルに、リスクのある拡張はサブプロファイルに分けるのが有効
Chrome拡張機能の権限を最小化する方法
学んだこと
- 拡張機能の詳細設定から「サイトへのアクセス」を「すべてのサイト」→「特定のサイト」に変更できる
- 必要なドメインだけを許可リストに入れることで、拡張機能がアクセスできる範囲を制限できる
- 使わないときは拡張機能を無効化しておくことも有効な対策
iCalendar (.ics) ファイル形式の構造
学んだこと
.icsファイルは iCalendar と呼ばれるカレンダーデータの標準フォーマット(RFC 5545)で、Google カレンダーや Outlook などからのエクスポート/インポートに使われる- ファイルは
BEGIN:VCALENDAR〜END:VCALENDARで囲まれ、その中にVEVENT(予定)、VTIMEZONE(タイムゾーン定義)などのコンポーネントが並ぶ - 主要なイベントフィールド:
DTSTART/DTEND- 開始・終了日時(UTC の場合は末尾にZが付く。例:20260225T130000Z)SUMMARY- 予定のタイトルCREATED/LAST-MODIFIED- 予定の作成日時・最終更新日時STATUS- 予定の状態(CONFIRMED,TENTATIVE,CANCELLED)TRANSP- 透過性。OPAQUEは「予定あり(ブロック)」、TRANSPARENTは「予定なし(空き)」として扱われるUID- イベントの一意識別子SEQUENCE- イベントの更新回数(0 = 初回作成のまま)- 日時フィールドの
Zサフィックスは UTC を示すため、JST に変換するには +9時間する必要がある
メタ情報
- ツール: Claude Code
- 関連技術: Chrome Extensions, Browser Security, Session Hijacking, Cookie Security, iCalendar, RFC 5545